當(dāng)前，全球新一輪科技革命和產(chǎn)業(yè)變革加速發(fā)展，5G作為新一代信息通信技術(shù)演進(jìn)升級的重要方向，是實現(xiàn)萬物互聯(lián)的關(guān)鍵信息基礎(chǔ)設(shè)施、經(jīng)濟社會數(shù)字化轉(zhuǎn)型的重要驅(qū)動力量。但是，隨之而來的網(wǎng)絡(luò)信息安全風(fēng)險挑戰(zhàn)也日益嚴(yán)峻。一方面，信息安全事件頻發(fā)?！吨袊ヂ?lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示，截至2020年3月，我國有43.6%的網(wǎng)民在過去半年上網(wǎng)過程中遇到過網(wǎng)絡(luò)安全問題，其中遭遇個人信息泄露問題占比最高達(dá)23.3%。另一方面，境外安全攻擊日益猖獗。據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心發(fā)布的報告顯示，去年DDoS攻擊高發(fā)頻發(fā)且攻擊組織性與目的性更加凸顯，僅某黑客組織對我國300余家政府網(wǎng)站就發(fā)起1000多次攻擊，APT攻擊在重大活動和敏感時期更加猖獗。毫無疑問，如何堅守5G時代漏洞防護(hù)區(qū)，已經(jīng)成為一個迫切的話題。

安全，是亙古不變的話題

我們知道，5G生態(tài)系統(tǒng)由各方參與者共同組成，包括移動運營商、云提供商、托管安全服務(wù)提供商、企業(yè)和技術(shù)合作伙伴，通過競爭與合作提供服務(wù)。這樣的鏈條下，安全自然是亙古不變的話題。

我們常說，雖然移動網(wǎng)絡(luò)運營商的首要任務(wù)是提供5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施的核心要素，但要實現(xiàn)真正的數(shù)字化轉(zhuǎn)型，則需要與5G用例價值鏈中的所有行業(yè)利益相關(guān)方建立合作關(guān)系。在將5G用例的愿景變?yōu)楝F(xiàn)實的過程中，商業(yè)和任務(wù)關(guān)鍵型行業(yè)的主要參與者、監(jiān)管機構(gòu)，以及國家和地方政府的決策者都將發(fā)揮各自的作用。

別忘了，在5G承諾的背后，我們的行業(yè)參與者也需時刻保持警惕。5G的采用讓整個服務(wù)提供商生態(tài)系統(tǒng)面臨更大的網(wǎng)絡(luò)攻擊風(fēng)險。隨著消費者和企業(yè)越來越依賴數(shù)字化服務(wù)，在采用5G之前就需要考慮安全問題。畢竟，5G網(wǎng)絡(luò)更依賴于云和邊緣計算，從而創(chuàng)建了跨多提供商和多云基礎(chǔ)設(shè)施的高度分布式環(huán)境。

與此同時，軟件由于開發(fā)及設(shè)計等各方面的原因，存在漏洞在所難免。對安全研究人員來說，通過對漏洞發(fā)展 趨勢的研究，可以在攻擊者利用漏洞造成危害之前，提出及時有效的修補方案，盡可能的減少攻擊事件的發(fā)生。對軟件開發(fā)商來說，通過對漏洞的研究，可以幫助開發(fā)人員把更多的精力放在安全開發(fā)過程中需要注意的關(guān)鍵技術(shù)上，開發(fā)出高質(zhì)量的軟件。

更為重要的是，隨著企業(yè)的數(shù)字化轉(zhuǎn)型，來自云端的威脅與攻擊正持續(xù)升級。在影視及傳媒資訊、電商零售和政府機構(gòu)等互聯(lián)網(wǎng)及近年來加速上云的信息密集型行業(yè)，有越來越多的敏感數(shù)據(jù)、關(guān)鍵業(yè)務(wù)暴露在互聯(lián)網(wǎng)中，被黑產(chǎn)團(tuán)隊以惡意爬蟲、API攻擊等方式獲取，因信息泄露導(dǎo)致的詐騙案件數(shù)量呈爆發(fā)式增長。更為明顯的表現(xiàn)還在于，隨著5G、IPv6、人工智能和物聯(lián)網(wǎng)等新技術(shù)的發(fā)展與普及，業(yè)務(wù)安全問題更難識別與防御，為網(wǎng)絡(luò)安全防護(hù)帶來全新的挑戰(zhàn)。

如前文所說，隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，全球互聯(lián)網(wǎng)體量急速膨脹，網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，國家政治、經(jīng)濟、 文化、社會及公民在網(wǎng)絡(luò)空間的合法權(quán)益面臨嚴(yán)峻挑戰(zhàn)。近些年來安全漏洞數(shù)量呈現(xiàn)遞增趨勢，基于漏洞的網(wǎng)絡(luò)安全事件層出不窮，為我們敲響了信息安全攻防戰(zhàn)的警鐘。

5G環(huán)境下的安全漏洞思考

接上一章節(jié)的話題。世界很多國家都把5G作為經(jīng)濟發(fā)展、技術(shù)創(chuàng)新的重點，將5G作為謀求競爭新優(yōu)勢的戰(zhàn)略方向。根據(jù)全球移動供應(yīng)商協(xié)會統(tǒng)計，截至2019年底，全球119個國家或地區(qū)的348家電信運營商開展了5G投資，其中，61家電信運營商已經(jīng)推出5G商用服務(wù)。那么，在5G環(huán)境下的安全漏洞思考就變得尤其必要了。在此，5G網(wǎng)絡(luò)安全的話題主要分為兩類：

一類是如5G核心網(wǎng)、邊緣計算、人工智能推理引擎等新型基礎(chǔ)設(shè)施的自身漏洞，這部分漏洞如被利用，可能會造成整個系統(tǒng)出現(xiàn)災(zāi)難性的后果;另一類是基于新型基礎(chǔ)設(shè)施之上的第三方應(yīng)用的業(yè)務(wù)漏洞，如邊緣計算支撐的智能交通、智慧醫(yī)療應(yīng)用的漏洞，而這類漏洞則會影響到具體應(yīng)用的安全性，也可能會造成嚴(yán)重影響，關(guān)系到人身安全、生產(chǎn)安全、社會安定等。

實際上，虛擬化、云計算、云原生以及邊緣計算等這些創(chuàng)新的技術(shù)和應(yīng)用都是發(fā)軔于開源。開源軟件具有開放、免費、功能靈活等特點，得到了越來越廣泛的應(yīng)用，但是安全問題仍然普遍存在。公開的利用代碼在短時間內(nèi)被集成到成熟的攻擊框架或木馬程序中，進(jìn)一步降低了漏洞利用的門檻，而從漏洞公布到被攻擊者大規(guī)模利用的時間窗口也在進(jìn)一步縮短，給安全廠商防護(hù)能力帶來了更大的挑戰(zhàn)。

除此之外，軟件及其系統(tǒng)中的漏洞也是導(dǎo)致信息安全問題的根源所在，如何減少安全漏洞已經(jīng)成為了信息安全業(yè)內(nèi)的熱門話題。

詳細(xì)來說，在目前許多網(wǎng)絡(luò)建設(shè)項目開發(fā)中，大部分都是先進(jìn)行生產(chǎn)功能的實現(xiàn)，測試生產(chǎn)功能沒有問題后，直接上線或者再考慮一些邊界安全問題。這樣做，雖然可以通過對程序的輸入進(jìn)行嚴(yán)格的校驗而避免攻擊的發(fā)生，但在程序內(nèi)部中的一些邏輯問題及潛在的安全問題都沒有機會被發(fā)現(xiàn)，一旦被外部攻擊者或用戶有意或無意的觸發(fā)，造成非常明顯的安全影響。要避免這個情況，只有將安全作為軟件的固有功能和屬性從設(shè)計之初就加以考慮的話，可以部分避免安全漏洞的出現(xiàn)。

畢竟，漏洞數(shù)量呈現(xiàn)顯著增長的總體趨勢是不變的，而更出乎人們預(yù)料的是，十年以上高齡漏洞在攻擊事件中占比仍然高。

瀏覽器（尤其是移動端瀏覽器，比如手機里的瀏覽器APP）作為網(wǎng)絡(luò)攻擊的入口，漏洞種類復(fù)雜多樣;利用文件格式漏洞的魚叉式釣魚攻擊已成為網(wǎng)絡(luò)安全的主要威脅之一，此類漏洞利用穩(wěn)定性高，在APT攻擊事件中屢見不鮮;Flash漏洞作為曾經(jīng)的研究焦點，今后一段時間內(nèi)，F(xiàn)lash漏洞并不會徹底消亡，還需繼續(xù)關(guān)注。

與此同時，隨著開源軟件開發(fā)模式的興起，針對軟件供應(yīng)鏈的攻擊成為面向軟件開發(fā)人員和供應(yīng)商的一種新興威脅;近些年來社會各界對移動應(yīng)用的漏洞關(guān)注度逐漸提高;物聯(lián)網(wǎng)設(shè)備數(shù)量增長迅速，設(shè)備廠商應(yīng)該重視并加強自身產(chǎn)品的安全。

物聯(lián)網(wǎng)也是重點關(guān)照區(qū)域

繼續(xù)接著上文的話題。目前，物聯(lián)網(wǎng)的爆炸式增長以及工作負(fù)載逐漸向云過渡加劇了這種復(fù)雜性。根據(jù)Gartner 2019年的一份報告，到2019年底，預(yù)計已有48億臺物聯(lián)網(wǎng)終端設(shè)備投入使用，比2018年增長了21.5%。物聯(lián)網(wǎng)為各行各業(yè)打開了創(chuàng)新和服務(wù)的大門，但同時也帶來了新的網(wǎng)絡(luò)安全風(fēng)險。有報告顯示，物聯(lián)網(wǎng)設(shè)備的總體安全狀況正在下滑，企業(yè)容易受到針對物聯(lián)網(wǎng)的新型惡意軟件以及早已被IT團(tuán)隊遺忘的老舊技術(shù)的攻擊。

攻擊者引進(jìn)和更新攻擊工具，使用自動化、漏洞利用工具包和云技術(shù)來攻擊移動運營商的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、應(yīng)用和服務(wù)，以及運營商的客戶/最終用戶（消費者和企業(yè)）。風(fēng)險和潛在傷害不僅與電信行業(yè)相關(guān)，而且與和電信行業(yè)緊密聯(lián)系并相互依存的所有行業(yè)相關(guān)，包括能源、金融、醫(yī)療、交通、IT、政府、制造和零售。隨著5G網(wǎng)絡(luò)規(guī)模的擴大，這種風(fēng)險將呈指數(shù)級增長。

換句話說，盡管未來可能會涌現(xiàn)大量新服務(wù)，但高度互聯(lián)的環(huán)境將帶來更多新的安全漏洞和威脅載體。這將增加潛在入侵點的數(shù)量，并給服務(wù)提供商、企業(yè)和消費者帶來更大的安全風(fēng)險。企業(yè)將尋求專注于安全設(shè)計的5G網(wǎng)絡(luò)，以便能夠放心地部署新的應(yīng)用和物聯(lián)網(wǎng)服務(wù)，從而實現(xiàn)5G商業(yè)價值的最大化。盡管數(shù)字化轉(zhuǎn)型進(jìn)展順利，解決安全問題仍迫在眉睫。

我們之前說過，5G網(wǎng)絡(luò)能夠大幅提高網(wǎng)絡(luò)容量和速度，讓更多設(shè)備能夠使用高速連接服務(wù)，實現(xiàn)前所未有的移動服務(wù)規(guī)模。但是，這也為攻擊創(chuàng)造了更多機會。此外，任何新出現(xiàn)的威脅都將對整個生態(tài)系統(tǒng)構(gòu)成威脅，包括關(guān)鍵基礎(chǔ)設(shè)施或服務(wù)，例如通過5G連接的電力、制造、公用事業(yè)和其他行業(yè)部門。簡而言之，5G網(wǎng)絡(luò)上的應(yīng)用和服務(wù)與網(wǎng)絡(luò)基礎(chǔ)設(shè)施本身一樣，其安全性都至關(guān)重要。

同時，在云化和SaaS化在多云環(huán)境下，將面臨多方面的風(fēng)險。首先云化以后的云原生就會帶來大量第三方的代碼的風(fēng)險，此外跨云的管理還會面臨錯誤配置錯誤的風(fēng)險危險，為網(wǎng)絡(luò)攻擊者帶來攻擊便利。況且，隨著私有云、行業(yè)云的大量部署，如果云上的安全管理不到位，會造成大量的當(dāng)大量云服務(wù)器被攻破后，將會變成免費的挖礦機器，成為挖礦病毒傳播的土壤。

因而，網(wǎng)絡(luò)安全態(tài)勢變得越來越復(fù)雜，數(shù)據(jù)泄露、APT攻擊、勒索病毒等事件愈演愈烈，國家政策日益完善并逐步落地，全行業(yè)用戶對網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品、服務(wù)的需求也逐漸顯現(xiàn)。而新基建在5G等領(lǐng)域的落地，在帶動數(shù)字化經(jīng)濟快速發(fā)展的同時，更凸顯了網(wǎng)絡(luò)安全的基礎(chǔ)性意義。為此，盯住云網(wǎng)安全也是處理好物聯(lián)網(wǎng)安全的一個關(guān)鍵節(jié)點。

后記

業(yè)內(nèi)早有共識，網(wǎng)絡(luò)安全是新基建的重要內(nèi)涵，也是數(shù)字經(jīng)濟發(fā)展的重要基石。今年以來，國家層面屢次提及新基建，加快發(fā)展新基建已成為社會共識下，更需做好 5G、人工智能、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的安全防護(hù)工作。即使沒有今天這篇，我們之前在多篇關(guān)于5G互聯(lián)網(wǎng)環(huán)境下的安全問題討論中也都明確提到，“網(wǎng)絡(luò)發(fā)展突飛猛進(jìn)，網(wǎng)絡(luò)安全形勢嚴(yán)峻”。況且，在新基建大潮下，亟需夯實網(wǎng)絡(luò)安全根基，筑牢網(wǎng)絡(luò)安全屏障，更是重中之重。